Hiina isikuandmete kaitse seaduse mõistmine

Hiina isikuandmete kaitse seadus (PIPL), mis jõustus 1. novembril 2021, on üks olulisemaid andmekaitsemääruseid väljaspool Euroopat. Globaalsete veebisaitide jaoks, eriti neil, kellel on Hiina külastajaid või tegevus Hiinas, loob PIPL nõusolekukohustused, mis eksisteerivad sõltumatult GDPR-i nõuetest — ja on nendega mõnikord vastuolus.

PIPL reguleerib Hiinas viibivate isikute isikuandmete töötlemist. Selle territoriaalne kohaldamisala on lai: see kehtib igale organisatsioonile, mis töötleb Hiinas asuvate inimeste isikuandmeid, sõltumata sellest, kus organisatsioon ise asub. Kui sinu veebisait on Hiina kasutajatele kättesaadav ja sa kogud neilt mingeid isikuandmeid, on PIPL sinu jaoks asjakohane.

PIPL vs GDPR: olulised erinevused

Kuigi PIPL-i nimetatakse sageli „Hiina GDPR-iks“, varjab see võrdlus olulisi erinevusi, mis mõjutavad seda, kuidas sa nõusolekut rakendad:

• Nõusolek kui peamine õiguslik alus: GDPR pakub kuus töötlemise õiguslikku alust, sealhulgas õigustatud huvi. PIPL on rohkem nõusolekukeskne. Kuigi see tunnustab ka teisi õiguslikke aluseid (lepinguline vajadus, õiguslik kohustus, avalik huvi), on õigustatud huvi ulatus palju kitsam ning enamiku kaubandusliku andmetöötluse puhul eeldatakse vaikimisi nõusolekut.
• Eraldi nõusolek tundlike andmete jaoks: PIPL nõuab eraldi, selgesõnalist nõusolekut tundlike isikuandmete töötlemiseks, mille hulka kuuluvad biomeetrilised andmed, finantsinfo, asukoha jälgimine ja alla 14-aastaste alaealiste andmed. Küpsistel põhinev käitumuslik jälgimine võib sellesse kategooriasse kuuluda.
• Kohustuslik andmete lokaliseerimine: Kriitilise info infrastruktuuri operaatorid ja organisatsioonid, mis töötlevad isikuandmeid üle Hiina Küberruumi Administratsiooni (CAC) kehtestatud mahulise lävendi, peavad andmeid säilitama Hiinas. See mõjutab, kus sinu analüütika- ja küpsisandmeid võib töödelda.
• Piiriülese edastuse piirangud: Isikuandmete edastamine Hiinast välja nõuab üht kolmest mehhanismist: CAC turvahindamise läbimine, sertifitseerimine tunnustatud asutuse poolt või CAC avaldatud tüüplepinguklauslite sõlmimine. See on piiravam kui GDPR-i andmeedastusmehhanismid.
• Isiku õigused „Hiina eripäradega“: PIPL annab andmesubjektidele õigused, mis sarnanevad GDPR-iga (juurdepääs, parandamine, kustutamine, ülekantavus), kuid lisab õiguse keelduda automatiseeritud otsuste tegemisest ja õiguse nõuda selgitust automatiseeritud töötlemise reeglite kohta.

Mida PIPL tähendab küpsiste ja jälgimise jaoks

PIPL ei maini „küpsiseid“ konkreetselt samamoodi nagu EL-i ePrivaatsuse direktiiv. Kuid seaduse lai isikuandmete definitsioon — iga teave, mis on seotud tuvastatud või tuvastatava füüsilise isikuga — hõlmab enamiku küpsistel põhinevast jälgimisest:

• Analüütikaküpsised, mis jälgivad kasutaja käitumist lehtede lõikes, koguvad PIPL-i definitsiooni järgi isikuandmeid isegi siis, kui kasutaja ei ole sisse logitud.
• Reklaamiküpsised ja saitideülene jälgimispikslid kuuluvad selgelt reguleerimisalasse, kuna need loovad profiile, mis on seotud seadme identifikaatoritega.
• Seansiküpsised põhilise funktsionaalsuse jaoks (ostukorvid, sisselogimise olek) on üldiselt lubatavad lepingulise vajaduse alusel, sarnaselt GDPR-iga.
• Kolmandate osapoolte küpsised, mis jagavad andmeid väliste osapooltega, käivitavad täiendavad PIPL-i nõuded kolmandate osapoolte avalikustamise kohta ja potentsiaalselt ka piiriülese edastuse reeglid.

PIPL-i jõustamine: reaalsed tagajärjed

Erinevalt mõnest privaatsusseadusest, mis eksisteerivad peamiselt paberil, on PIPL-i jõustamine olnud aktiivne ja kasvutrendis. Hiina Küberruumi Administratsioon koos Avaliku Julgeoleku Ministeeriumi ja teiste asutustega on astunud konkreetseid samme:

• Suured rakenduste poed Hiinas on eemaldanud rakendusi liigse andmekogumise ja nõuetekohase nõusoleku hankimata jätmise tõttu. Jõustamiskampaaniate käigus on nimekirjast eemaldatud sadu rakendusi.
• Ettevõtteid on trahvitud isikuandmete kogumise eest ulatuses, mis ületas nende deklareeritud eesmärgi täitmiseks vajaliku.
• CAC on andnud avalikke hoiatuseid ettevõtetele, kelle privaatsuspoliitikad ei kirjeldanud piisavalt andmetöötlustegevusi.
• Raskematel juhtudel võimaldab PIPL määrata kuni 50 miljoni RMB (ligikaudu 7 miljonit USD) suuruseid trahve või 5% eelmise aasta käibest, samuti võib peatada äritegevuse.

Rahvusvaheliste ettevõtete jaoks on risk nii regulatiivne kui ka äriline. Mittevastavus võib viia rakenduste eemaldamiseni Hiina rakenduste poodidest, teenuste blokeerimiseni ja mainekahjuni turul, kus on üle miljardi internetikasutaja.

Hiina külastajate geosihtimine

Kui sinu veebisait teenindab globaalset auditooriumi, kuhu kuuluvad ka Hiina kasutajad, vajad geosihtimisega nõusolekustrateegiat. See tähendab, et tuvastad, millal külastaja asub Hiinas, ja kuvad nõusolekumehhanisme, mis vastavad PIPL-i nõuetele:

• IP-põhine tuvastamine: Kasuta IP-geolokatsiooni, et tuvastada Mandri-Hiinast pärit külastajad. See on sama lähenemine, mida kasutatakse GDPR-i geosihtimiseks EMP külastajate puhul.
• Keeleseaded signaalina: Kui kasutaja brauseri keel on seatud hiina keelele (zh-CN või zh-TW), võib see toimida teisese signaalina, kuigi see ei tohiks olla ainus määrav tegur.
• Nõusolekubänneri sisu: Hiina kasutajatele kuvatav nõusolekuteade peaks olema lihtsustatud hiina keeles, selgelt kirjeldama andmete kogumise eesmärke, tuvastama vastutava töötleja ning pakkuma tegelikku võimalust keelduda mitteolulisest töötlemisest.
• Eraldi nõusolek tundliku töötlemise jaoks: Kui kasutad küpsiseid käitumuslikuks profileerimiseks või asukoha jälgimiseks, peaksid Hiina kasutajad nägema nende kategooriate jaoks eraldi ja detailsemat nõusolekupäringut.

GDPR-i ja PIPL-i haldamine ühe CMP-ga

Enamik globaalseid veebisaite peab samaaegselt vastama mitmele privaatsusrežiimile. Väljakutse on esitada õige nõusolekukogemus õigel kasutajal ilma eraldi süsteeme haldamata. Ühtne lähenemine toimib järgmiselt:

Alusena piirkonna tuvastamine

CMP peab esmalt määrama külastaja asukoha. Selle põhjal rakendab ta sobivad nõusolekureeglid:

• EMP/Ühendkuningriigi külastajad: TCF 2.3 nõusolekubänner koos Consent Mode V2-ga, opt-in mudel, kõik GDPR-i nõuded.
• Hiina külastajad: PIPL-iga kooskõlas olev nõusolekuteade lihtsustatud hiina keeles, opt-in mitteolulise töötlemise jaoks, selge piiriüleste edastuste avalikustamine, kui andmed lahkuvad Hiinast.
• USA külastajad: Osariigipõhised reeglid (CCPA/CPRA Californias, osariigi seadused Colorados, Connecticuti, Virginia jne jaoks), tavaliselt opt-out mudelid.
• Muud piirkonnad: Vaikekäitumine vastavalt väljaandja riskitaluvusele ja kohalikele seadustele.

Nõusoleku salvestamise kaalutlused

PIPL-i andmete lokaliseerimise nõuded tähendavad, et Hiina kasutajate nõusolekusalvestised võivad vajada säilitamist Hiinas asuvatel serveritel, kui sinu andmetöötlusmahud ületavad CAC-i lävendi. Enamiku rahvusvaheliste veebisaitide puhul, millel on Hiina liiklus vaid juhuslikult, ei ole tõenäoline, et see lävend ületatakse, kuid suure liiklusega saidid, mis sihivad Hiina turgu, peaksid konsulteerima kohalike õigusnõustajatega.

Piiriülese edastuse dokumenteerimine

Kui Hiina kasutaja annab nõusoleku küpsistele, mis saadavad andmeid väljaspool Hiinat asuvatele serveritele (mis on peaaegu kõigi Lääne analüütika- ja reklaamiplatvormide puhul nii), peaks CMP dokumenteerima selle nõusoleku osana piiriülese edastuse õigustusest. Nõusolekuteates tuleks selgesõnaliselt mainida, et andmeid edastatakse rahvusvaheliselt.

Praktilised sammud globaalseks vastavuseks

Siin on prioriseeritud tegevuskava veebisaitidele, mis peavad käsitlema PIPL-i koos GDPR-iga:

• Auditeeri oma Hiina liiklust: Kontrolli oma analüütikast, kui suur protsent külastajatest tuleb Hiinast. Kui see on tühine, on sinu risk väiksem, kuid mitte null.
• Kaardista oma küpsised PIPL-i kategooriatesse: Määra, millised küpsised töötlevad isikuandmeid PIPL-i definitsiooni järgi ja kas mõni neist hõlmab tundlikke isikuandmeid.
• Rakenda geosihtimisega nõusolek: Kasuta CMP-d, mis suudab kuvada erinevaid nõusolekukogemusi sõltuvalt külastaja asukohast, pakkudes igale piirkonnale sobivat keelt ja õiguslikku alust.
• Uuenda oma privaatsuspoliitikat: Lisa eraldi jaotis, mis käsitleb PIPL-i alusel antavaid õigusi ja sinu andmetöötlustavasid Hiina kasutajate jaoks.
• Vaata üle piiriülesed edastused: Dokumenteeri, kuidas Hiina kasutajate isikuandmeid rahvusvaheliselt edastatakse ja töödeldakse, ning veendu, et sul on kehtiv edastusmehhanism.

Tähtis märkus: PIPL-iga vastavuses olemine Hiina turgu sihtivate veebisaitide puhul võib olla keerukas ning regulatiivsed juhised on endiselt arenemas. See artikkel annab üldise ülevaate, kuid organisatsioonid, kellel on märkimisväärne tegevus või kasutajabaas Hiinas, peaksid otsima oma olukorrale konkreetset õigusnõu.

FlexyConsent toetab geosihtimisega nõusolekukogemusi piirkonnaspetsiifiliste reeglitega, võimaldades sul käsitleda GDPR-i, PIPL-i, CCPA-d ja muid privaatsusseadusi ühe platvormi kaudu. Tasuta pakett sisaldab geotuvastust ja mitme piirkonna nõusoleku seadistamist.